مدقق ملف security.txt

🔍 افحص رؤوس استجابة HTTP لأي عنوان URL عام واحصل على رؤى فورية للأمان والأداء وتحسين محركات البحث. شاهد CSP، HSTS، الكوكيز، CORS، التخزين المؤقت وسلوك إعادة التوجيه بنظرة واحدة – لا حاجة لتسجيل دخول أو مفتاح API أو تثبيت.

Loading…

حول محلل رؤوس HTTP عبر الإنترنت

الصق عنوان URL وسيقوم هذا الأداء بجلب رؤوس استجابة HTTP الخاصة به، وتجميعها حسب الغرض (أمان، أداء، SEO)، وحساب درجات مبسط، وإبراز المشكلات والتحذيرات والتوصيات. مثالي للمطورين، متخصصي SEO، فرق DevOps ومراجعات الأمان عندما تريد "فحص سريع للرؤوس" بصريًا دون تشغيل ماسحات ضوئية كاملة.

ما يمكن لهذا الأداء الخاص برؤوس HTTP فعله

  • يصنف الرؤوس إلى مجموعات أمان، أداء، SEO، مهملة وأخرى للمسح السريع
  • يحسب درجات مبسطة للرؤوس العامة، الأمان، الأداء وSEO لتظهر وضعك بنظرة واحدة
  • يسلط الضوء على رؤوس الأمان مثل CSP، HSTS، Referrer-Policy، X-Frame-Options، COOP/COEP/CORP وOrigin-Agent-Cluster
  • يحلل أعلام Set-Cookie للكشف عن السمات المفقودة مثل Secure، HttpOnly أو SameSite
  • يكشف عن الرؤوس المهملة أو الخطرة مثل X-XSS-Protection، X-Powered-By وشعارات Server التي تسرب تفاصيل التنفيذ
  • يساعد في ضبط رؤوس الأداء مثل Cache-Control، Content-Encoding، ETag، Last-Modified وServer-Timing
  • يكشف عن الرؤوس المتعلقة بـ SEO مثل Link (canonical/alternate) وX-Robots-Tag، بالإضافة إلى Content-Language عند وجودها
  • لا حاجة لحساب أو مفتاح API – فقط الصق عنوان URL عام، افحص الرؤوس وقم بالتعديل على إعداداتك

🛠️ كيفية استخدام عارض رؤوس HTTP for security-txt-checker

1

1. أدخل الرابط

🔗 الصق أي رابط HTTP أو HTTPS صالح في حقل الإدخال. نقاط النهاية العامة أو واجهات برمجة التطبيقات المكشوفة للعامة تعمل بشكل أفضل.

2

2. جلب العناوين

🌐 يطلب الخادم الخلفي الرابط ويجمع عناوين الاستجابة، مع متابعة عمليات إعادة التوجيه عندما يكون ذلك ممكنًا. يتم فحص العناوين وبيانات التعريف الأساسية فقط – وليس محتوى HTML الكامل.

3

3. راجع الفئات والنتائج

🧠 يتم تجميع العناوين في مجموعات الأمان، والأداء، وتحسين محركات البحث، والكوكيز، والعناصر المهملة وغيرها. يستمد الأداة النتائج، والمشكلات، والتحذيرات، والتوصيات من تكوين العناوين الخاص بك.

4

4. أصلح وأعد الاختبار

🔁 اضبط تكوين الخادم، أو شبكة توصيل المحتوى، أو الوكيل العكسي، ثم أعد تشغيل الفحص حتى تتطابق النتائج والتحذيرات مع أهدافك. استخدمه كحلقة ملاحظات سريعة كلما تطرقت للبنية التحتية.

التفاصيل التقنية

معالجة الطلب والاستجابة

تركز الأداة على عناوين الاستجابة وبيانات التعريف الأساسية للاتصال بدلاً من محتوى الصفحة الكامل.

الجانبالسلوكملاحظات
طريقة HTTPHEAD أو GET (تعتمد على التنفيذ)يتم فحص العناوين فقط؛ يتم تجاهل المحتوى ما لم يكن هناك حاجة للرجوع إلى GET.
إعادة التوجيهتسلسل إعادة التوجيه مسجل عند التوفرمفيد لتصحيح سلاسل 301/302، والأهداف الأساسية، والقفزات ذات التكوين الخاطئ.
إصدار HTTPيتم التقاطه عند توفرهيساعد في تحديد إعدادات HTTP/1.1 مقابل HTTP/2/3 وفرص الترقية المحتملة.
لافتة الخادممقروءة من عنوان الخادمتُستخدم للتحذير من تسرب المعلومات المحتمل (الإطار، الإصدار).
معالجة الأخطاءيتم عرض حقل الخطأ بشكل منفصلإذا فشل الجلب، لا تزال تحصل على حالة خطأ قابلة للقراءة بدلاً من تعطل.

تصنيف وتحليل العناوين

يتم توحيد العناوين، ثم تحليلها إلى مجموعات مصنفة مع فحوصات وتلميحات مخصصة.

الفئةالعناوين النموذجيةالفحوصات والرؤى
الأمانContent-Security-Policy, Strict-Transport-Security, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP/COEP/CORP, Origin-Agent-Clusterيُتحقق من الوجود، ويُعلم بالتوجيهات الضعيفة أو المفقودة، ويكشف عن أنماط CSP غير الآمنة وأصول التطوير.
الأداءCache-Control, Content-Encoding, ETag, Last-Modified, Accept-Ranges, Link (preload/prefetch), Server-Timingيتحقق من تلميحات التخزين المؤقت، والضغط، ودعم نطاق البايت، ورؤوس Link المتعلقة بالأداء.
تحسين محركات البحث (SEO)Link (canonical/alternate), X-Robots-Tag, Content-Languageيكتشف تلميحات canonical/alternate وتوجيهات الروبوتات على مستوى الرأس، بالإضافة إلى بيانات اللغة حيثما تكون موجودة.
ملفات تعريف الارتباط (Cookies)Set-Cookieيفحص سمات Secure و HttpOnly و SameSite ويحذر عند فقدان العلامات أو ظهورها ضعيفة.
مهملX-XSS-Protection, Public-Key-Pins, إصدارات CSP القديمةيُعلم بالرؤوس التي يجب إزالتها أو استبدالها ببدائل حديثة.

نموذج التقييم

التقييمات استدلالية وليست تدقيق أمان كامل، لكنها تساعد في تحديد أولويات العمل ومقارنة البيئات.

التقييمما الذي يقيسهكيف يتم حسابه
التقييم العامالنظافة العامة للرؤوسالنسبة عبر جميع الرؤوس الموزونة – تعتمد في الغالب على الوجود مع ترجيح خفيف.
تقييم الأمانتعزيزات متعلقة بالأمانيُرجح CSP و HSTS وضبط التأطير و Referrer-Policy و Permissions-Policy و COOP/COEP/CORP و Origin-Agent-Cluster.
تقييم الأداءكفاءة التخزين المؤقت والنقليُرجح Cache-Control و Content-Encoding و ETag و Last-Modified و Accept-Ranges و Server-Timing واستخدام Link المتعلق بالأداء.
تقييم تحسين محركات البحث (SEO)إشارات SEO على مستوى الرأسيُرجح X-Robots-Tag ورؤوس Link من نوع canonical/alternate و Content-Language عند وجودها.

بدائل سطر الأوامر لفحص الرؤوس

هل تفضل الطرفية أو دمج فحوصات الرؤوس في CI/CD؟ استخدم هذه الأوامر كمرافق محلي لهذه الأداة:

Linux/macOS

عرض رؤوس الاستجابة باستخدام curl

curl -I https://example.com

يرسل طلب HEAD ويطبع رؤوس الاستجابة لفحص سريع للسلامة.

إخراج مفصل مع الرؤوس وتفاوض TLS

curl -v https://example.com

مفيد عند تصحيح عمليات إعادة التوجيه، تكوين TLS وتفاصيل الاتصال.

ويندوز (PowerShell)

جلب وفحص الرؤوس باستخدام Invoke-WebRequest

(Invoke-WebRequest -Uri https://example.com).Headers

يعرض الرؤوس ككائن PowerShell، جاهز لتصفية أو برمجة إضافية.

تطبيقات عملية

مراجعة رؤوس الأمان

  • التحقق من وجود رؤوس CSP، HSTS، Referrer-Policy أو Permissions-Policy مفقودة على النقاط الطرفية الرئيسية.
  • اكتشاف توجيهات CSP غير آمنة مثل 'unsafe-inline' بدون nonces أو hashes.
  • تحديد ملفات تعريف الارتباط التي تفتقد سمات Secure أو SameSite والتخطيط لإصلاحات تعزيز الجلسة.

تشخيص الأداء والتخزين المؤقت

  • فحص تكوين Cache-Control، ETag و Content-Encoding عبر المسارات الثابتة والديناميكية.
  • التحقق من وجود تلميحات الأداء مثل رؤوس Link الخاصة بـ preload أو preconnect من شبكة CDN الخاصة بك.
  • مقارنة رؤوس الأداء بين بيئات التدريب، المعاينة والإنتاج.

تحليل SEO وسلسلة إعادة التوجيه

  • فحص سلاسل إعادة التوجيه 301/302 والتأكد من أن عنوان URL النهائي هو العنوان الأساسي والآمن.
  • التحقق من رؤوس Link الأساسية والبديلة على صفحات HTML أو النسخ المترجمة.
  • التحقق من صحة توجيهات X-Robots-Tag للفهرسة، سلوك المقتطفات ومعالجة الوسائط.

❓ Frequently Asked Questions

ما هي رؤوس استجابة HTTP ولماذا هي مهمة؟

رؤوس استجابة HTTP هي أزواج مفتاح-قيمة تُرسل من الخادم قبل المحتوى. تتحكم في التخزين المؤقت، سياسات الأمان، عمليات إعادة التوجيه، CORS، ملفات تعريف الارتباط وكيفية تفسير المتصفحات ومحركات البحث لموقعك. ضبطها بشكل صحيح أمر بالغ الأهمية للأمان، الأداء وتحسين محركات البحث.

🔒هل يتم تخزين عناوين URL التي أختبرها في أي مكان؟

تم تصميم الأداة لاستخدام عناوين URL فقط لإجراء عمليات البحث والتحليل على الصفحة. لا يُقصد بها أن تُحفظ كملفات تعريف طويلة الأجل. كما هو الحال مع أي أداة عبر الإنترنت، تجنب اختبار النقاط الطرفية الداخلية الحساسة للغاية التي لا ينبغي الكشف عنها أبدًا.

🧪هل يمكنني استخدام هذه الأداة لفحص استجابات API؟

نعم، طالما أن نقطة نهاية API يمكن الوصول إليها بشكل عام من الخادم الذي يقوم بالطلب. هذا مفيد بشكل خاص لفحص رؤوس CORS، تلميحات تحديد معدل الاستخدام، سلوك التخزين المؤقت وأنواع المحتوى على واجهات برمجة التطبيقات JSON أو XML.

🕵️‍♂️هل تعمل مع الصفحات خلف المصادقة؟

بشكل عام، لا. النقاط الطرفية التي تتطلب جلسة تسجيل دخول، شبكة VPN خاصة أو رؤوس خاصة لن تُعيد نتائج ذات معنى لطلب عام. استخدم أدوات المطور في المتصفح أو البرامج النصية المعتمدة للموارد الخاصة.

📈هل تمثل النتيجة تدقيق أمان كامل؟

لا. النتيجة هي استدلالي يساعدك على اكتشاف الرؤوس المفقودة أو الضعيفة بسرعة. لا تحل محل اختبار الاختراق، فحص الثغرات أو مراجعة الأمان اليدوية، لكنها فحص أولي رائع وأداة مقارنة بين البيئات.

Pro Tips

CI Tip

قارن الرؤوس بين بيئات التدريب، المعاينة، والإنتاج لاكتشاف نقص تعزيز الأمان أو قواعد التخزين المؤقت في بيئة ما.

Best Practice

عالج رؤوس الخادم و X-Powered-By كتسريبات للمعلومات – أزلهم أو قللهم في الإنتاج قدر الإمكان.

Best Practice

اضبط Cache-Control و Content-Encoding أولاً للأصول الثابتة – فهما غالباً ما يحققان أكبر مكاسب أداء بأقل مخاطر.

Best Practice

شغل هذه الأداة بعد كل تغيير رئيسي في البنية التحتية (شبكة توصيل المحتوى، الوكيل العكسي، تفريغ TLS، مضيف جديد) للتأكد من أن الرؤوس لا تزال صحيحة.

Additional Resources

MDN: مرجع رؤوس HTTP
Documentation
مشروع OWASP للرؤوس الآمنة
Documentation

Other Tools